Utilizzo degli endpoint FIPS con Serverless OpenSearch Utilizza gli endpoint FIPS con AWS SDK Configurazione dei gruppi di sicurezza per gli endpoint VPC Usa l'endpoint FIPS VPC Verifica la conformità FIPS

Conformità FIPS in Amazon Serverless OpenSearch

Amazon OpenSearch Serverless supporta Federal Information Processing Standards (FIPS) 140-2, uno standard governativo canadese che specifica i requisiti di sicurezza per i moduli crittografici che proteggono le informazioni sensibili U.S. Quando ti connetti agli FIPS-enabled endpoint con OpenSearch Serverless, le operazioni crittografiche avvengono utilizzando librerie crittografiche. FIPS-validated

OpenSearch Gli endpoint FIPS serverless sono disponibili laddove è supportato FIPS. Regioni AWS Questi endpoint utilizzano TLS 1.2 o versioni successive e algoritmi crittografici per tutte le FIPS-validated comunicazioni. Per ulteriori informazioni, consulta la conformità FIPS nella Guida per l'AWS utente ad accesso verificato.

Argomenti

Utilizzo degli endpoint FIPS con Serverless OpenSearch
Utilizza gli endpoint FIPS con AWS SDK
Configurazione dei gruppi di sicurezza per gli endpoint VPC
Usa l'endpoint FIPS VPC
Verifica la conformità FIPS
Risolvi i problemi di connettività degli endpoint FIPS nelle zone ospitate private

Utilizzo degli endpoint FIPS con Serverless OpenSearch

Regioni AWS Laddove è supportato FIPS, le raccolte OpenSearch Serverless sono accessibili sia tramite standard che tramite endpoint. FIPS-compliant Le FIPS-compliant varianti sono disponibili per gli endpoint di raccolta OpenSearch Serverless NextGen e Classic. Per ulteriori informazioni, consulta la conformità FIPS nella Guida per l'utente ad accesso AWS verificato.

Negli esempi seguenti collection-idaccount-id, sostituisci e inserisci l'ID region di raccolta, l' Account AWS ID e la regione.

NextGen endpoint per raccolta

Standard: https://collection-id.aoss.region.on.aws
FIPS-compliant – https://collection-id.aoss-fips.region.on.aws

NextGen endpoint per account

Standard: https://account-id.aoss.region.on.aws
FIPS-compliant – https://account-id.aoss-fips.region.on.aws

Endpoint classico per raccolta

Standard: https://collection-id.region.aoss.amazonaws.com
FIPS-compliant – https://collection-id.region.aoss-fips.amazonaws.com

NextGen Gli endpoint FIPS utilizzano lo standard per l'accesso al AWS PrivateLink VPC, allo stesso modo delle loro controparti non FIPS. Per ulteriori informazioni, consulta Accesso al piano dati tramite AWS PrivateLink.

Nota

Nelle FIPS-enabled regioni, sia gli standard che gli endpoint forniscono la crittografia. FIPS-compliant FIPS-compliant Gli FIPS-specific endpoint consentono di soddisfare i requisiti di conformità che impongono specificamente l'uso di endpoint con FIPS nel nome.

Utilizza gli endpoint FIPS con AWS SDK

Quando si utilizzano AWS gli SDK, è possibile specificare l'endpoint FIPS durante la creazione del client. Nell'esempio seguente, sostituisci collection_id e Regione AWS con il tuo ID di raccolta e il relativo. Regione AWS


# Python SDK example
from opensearchpy import OpenSearch, RequestsHttpConnection, AWSV4SignerAuth
import boto3
host = '"https://collection_id.Regione AWS.aoss-fips.amazonaws.com"
region = 'us-west-2'
service = 'aoss'
credentials = boto3.Session().get_credentials()
auth = AWSV4SignerAuth(credentials, region, service)
client = OpenSearch(
    hosts = [{'host': host, 'port': 443}],
    http_auth = auth,
    use_ssl = True,
    verify_certs = True,
    connection_class = RequestsHttpConnection,
    pool_maxsize = 20
)

Configurazione dei gruppi di sicurezza per gli endpoint VPC

Per garantire una comunicazione corretta con il tuo endpoint FIPS-compliant Amazon VPC (VPC), crea o modifica un gruppo di sicurezza per consentire il traffico HTTPS in entrata (porta TCP 443) dalle risorse del tuo VPC che devono accedere a Serverless. OpenSearch Quindi associa questo gruppo di sicurezza al tuo endpoint VPC durante la creazione o modificando l'endpoint dopo la creazione. Per ulteriori informazioni, consulta Creazione di un gruppo di sicurezza nella Guida per l'utente di Amazon VPC.

Usa l'endpoint FIPS VPC

Dopo aver creato l'endpoint FIPS-compliant VPC, puoi utilizzarlo per accedere a OpenSearch Serverless dalle risorse all'interno del tuo VPC. Per utilizzare l'endpoint per le operazioni API, configura il tuo SDK per utilizzare l'endpoint FIPS regionale come descritto nella sezione. Utilizzo degli endpoint FIPS con Serverless OpenSearch Per accedere alle OpenSearch dashboard, utilizza l'URL Dashboards specifico della raccolta, che verrà indirizzato automaticamente attraverso l'endpoint VPC quando si accede dall'interno del FIPS-compliant tuo VPC. Per ulteriori informazioni, consulta Utilizzo delle OpenSearch dashboard con Amazon Service OpenSearch.

Verifica la conformità FIPS

Per verificare che le connessioni a OpenSearch Serverless utilizzino la FIPS-compliant crittografia, utilizza questa funzionalità AWS CloudTrail per monitorare le chiamate API effettuate a Serverless. OpenSearch Verifica che il eventSource campo nei CloudTrail log venga visualizzato aoss-fips.amazonaws.com per le chiamate API.

Per accedere alle OpenSearch dashboard, puoi utilizzare gli strumenti di sviluppo del browser per controllare i dettagli della connessione TLS e verificare che vengano utilizzate suite di FIPS-compliant crittografia.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Accesso alla rete

Risolvi i problemi relativi alle zone ospitate private FIPS